Ransomware: in Italia il fenomeno si fa sempre più preoccupante. E i dati sfatano una leggenda metropolitana: più che le grandi aziende, nel mirino degli attaccanti ci sono le PMI

Ransomware in Italia nel 2023: il report di Swascan
Swascan ha pubblicato il report Threatland che sistematizza i dati relativi agli attacchi informatici raccolti dal SOC (Security Operation Center) e dal team di Cyber Threat Intelligence di Swanscan. Emergono dati molto interessanti, che confermano purtroppo l'emergenza ransomware e sfatano alcuni miti.

Il report integrale è consultabile qui.

Diamo i numeri... nel mondo e in Italia
Partiamo da un dato che rende chiara la crescita del fenomeno degli attacchi ransomware. Il numero di aziende colpite nel mondo da attacchi informatici di questo tipo è aumentato del 62% rispetto al trimestre precedente. Ma se allarghiamo lo sguardo, questa percentuale lievita al 105% rispetto al 2° trimestre del 2022 e dell'185% rispetto all'inizio dell'anno. Le aziende di servizi risultano le vittime maggiormente gradite dagli attaccanti, visto che rappresentano il 47% dei casi. Seguono settori come il manifatturiero (16%) e tecnologico (6%).

In mezzo a questi numeri ci sono vittime italiane, principalmente aziende ed enti pubblici. Qui il dato riguardo le vittime di attacchi ransomware è davvero interessante e sfata un mito, quello per cui il cyber crimine prende di mira principalmente le grandi aziende. Infatti le vittime italiane di attacchi ransomware sono per l'80% PMI. Di queste, ben il 91% ha un fatturato inferiore ai 250 milioni di euro. Risultano oltre 190.000 i dispositivi compromessi in Italia nel 2° trimestre. Da 132.000 di questi sono stati anche esfiltrate le credenziali di accesso.

Per approfondire > Ransomware e data breach: cosa succede quando un attacco informatico “buca” un’organizzazione

Non solo: nel nostro paese le vittime di attacchi ransomware sono cresciute dell'85% rispetto all'ultimo trimestre del 2023.

In totale nel 2° trimestre 2023 le aziende colpite da attacco informatico che hanno visto i propri dati prima rubati, poi criptati quindi pubblicati ammontano a 1451. Nella totalità dei casi le vittime hanno ricevuto ingenti richieste di pagamento del riscatto.

Brata è un trojan bancario per Android che mira alle informazioni contenute nelle app di home banking. Il CERT lo ha individuato più volte in diffusione in Italia

Le campagne di diffusione del trojan bancario Brata in Italia
Il bollettino del CERT sulle campagne dannose individuate in Italia tra il 16 e il 22 Settembre riporta questa frase:

Brata – Campagna italiana a tema “Banking“ veicolata tramite SMS con link al download di un APK.

Questa è soltanto una delle molteplici segnalazioni che il CERT ha già fatto, anche in passato, relativamente alle campagne di diffusione di Brata mirate contro utenti italiani.

Nel 2021 invece il CERT ha dedicato a Brata un report dettagliato che analizzava la sua distribuzione a partire dalle pagine di phishing fino al funzionamento del malware stesso, dopo aver individuato una campagna di distribuzione mirata contro i clienti Intesa San Paolo e che imitava piuttosto fedelmente il sito istituzionale.

Una delle pagine di phishing utilizzate dal trojan bancario Brata. Fonte: CERT
Una delle pagine di phishing utilizzate da Brata. Fonte: CERT
Insomma il trojan bancario Brata è una presenza ricorrente, anche se non fissa, dei report settimanali con cui il CERT-AGID informa degli attacchi e delle campagne malware individuate, analizzate e contrastate nel cyber spazio italiano. Non ha il peso di un Emotet, il malware che ormai si gode fisso il posto sul gradino più alto del podio dei malware più diffusi in Italia: sicuramente Brata è tra quelli che più spesso e con più continuità sono diffusi contro i sistemi Android

Brata: cronistoria del trojan bancario
Brata è un malware recente, individuato per la prima volta nel 2020 ben nascosto entro una serie di applicazioni dannose che erano riuscite a superare i controlli di sicurezza del Play Store: successivamente è stato distribuito tramite attacchi mirati di ingegneria sociale. “Risultano invece recenti” si legge nell’alert del CERT “le evidenze dell’uso di BRATA in attività italiane, il malware (APK) è sempre lo stesso ma viene ricompilato con nuovi indirizzi e pubblicizzato attraverso domini di nuova registrazione”

Ad inizio 2022 è proprio il CERT a lanciare di nuovo l’allarme su questo malware:dopo un relativo periodo di silenzio, torna in diffusione nel Dicembre 2021 e lo fa con alcune nuove varianti, migliorate e corrette.

In dettaglio, i ricercatori individuano una serie di varianti del Remote Accesso Trojan Brata pensate per colpire specificatamente utenti europei di Android. Si fa, con queste varianti, largo impiego di tecniche di ingegneria sociale: fa ricorso all’uso di pagine overlay personalizzate su specifiche app bancarie. Inoltre si presenta spesso come app fake per la sicurezza o per gli aggiornamenti dello smartphone Android. In realtà ha il solo scopo di rubare le credenziali di accesso e i codici dei clienti.

Fa largo impiego della richiesta di autorizzazione ai servizi di accessibilità, una volta concesse le quali Brata inizia ad avere ampia libertà di manovra, a partire da un attento monitoraggio delle attività del dispositivo. Non solo, grazie alla capacità di ottenere ampie permissioni, gli sviluppatori vi hanno aggiunto molteplici funzionalità dannose.

Le varianti in circolazione attualmente sono tre, una delle quali, chiamata Primaria è quella diffusa in Italia. L’immagine sotto presenta le tre versioni di Brata secondo le analisi dei ricercatori di Cleafy

Le tre versioni di Brata secondo le analisi dei ricercatori di Cleafy
Le tre versioni di Brata secondo le analisi dei ricercatori di Cleafy
Le funzionalità di Brata
L’installazione di Brata è solitamente anteceduta dal download del suo downloader, di solito l’app fake appunto. A questa app basta ottenere le autorizzazioni come servizio di accessibilità per avviare il download del malware stesso. L’utente autorizza l’app, che immediatamente invia una richiesta GET al server C&C per scaricare l’APK dannoso.

Una volta installato, il RAT Brata può compiere le seguenti attività dannose:

può riportare il dispositivo alle impostazioni di fabbrica;
può localizzare tramite GPS;
monitora continuamente l’app bancaria della vittima tramite VNC e funzionalità specifiche di keylogging;
può comunicare col server C&C con più canali (HTTP e TCP): riesce così a mantenere una comunicazione costante col proprio server di comando e controllo.
La prima funzionalità, quella di ripristino alle impostazioni di fabbrica, ha lasciato non poco perplessi i ricercatori. Si ritiene che il suo scopo possa essere quello di fungere da vero e proprio kill switch: una maniera cioè di cancellare le proprie tracce dal dispositivo. Che sia una funzionalità difensiva lo conferma il fatto che questa si attiva nel caso in cui il malware rilevi di essere in esecuzione in una sandbox.

Brata è ancora più pericoloso: intercetta anche SMS e OTP
Nel 2021 Brata evolve ancora e diventa ancora più pericoloso divenendo una Advanced Persistent Threat (APT): si intende con questo la trasformazione di questo malware in una minaccia persistente capace di garantirsi la presenza di lungo periodo sui dispositivi al fine di rubare informazioni sensibili.

La più recente versione di Brata ottiene più permissioni, come quella necessaria a spedire e ricevere SMS. Questa funzionalità è essenziale per rubare codici temporanei, OTP e intercettare l’autenticazione multi fattore, che poi sono i meccanismi con le quali le banche identificano e concedono le operazioni ai propri clienti. Ovviamente lo scopo ultimo per Brata resta quello di ottenere le permissioni come Servizio di accessibilità, cosa che gli consentirebbe di rubare dati anche da altre applicazioni.

Ransomware: la regione Campania subisce e respinge un attacco informatico limitando i danni ad una singola postazione di lavoro e ad un server.

La segnalazione ricevuta da Red Hot Cyber
Nei giorni scorsi la redazione di Red Hot Cyber ha ricevuto una segnalazione da un whistleblower della Regione Campania. La segnalazione ripercorre e dettaglia un attacco informatico con ransomware contro i sistemi IT regionali, individuato e respinto grazie al pronto intervento dei tecnici.

Nella segnalazione ricevuta, il whistleblower spiega che il fine della comunicazione è quella di fornire informazioni sull’evento, sulle cause scatenanti e sulle attività messe in campo per sventare l’attacco. Una modalità che ribalta la pessima tradizione, tutta italiana, di negare o far cadere la totale omertà sugli attacchi informatici anziché condividere le informazioni onde evitare ad altri di cadere successivamente vittima degli stessi attacchi.

I gruppi ransomware Lockbit 3.0 e BlackCat AlphV all’attacco della regione Campania
L’attacco ha avuto inizio con il tentativo di installazione di un software dannoso su una postazione endpoint e su un server. Il software aveva lo scopo di aprire un accesso illegittimo sulle macchine. Molto probabilmente allo scopo di esfiltrare successivamente i dati e procedere alla loro criptazione.

Gli attaccanti hanno creato il software dannoso direttamene sulla postazione di lavoro. Software sconosciuto in precedenenza, visto che si parla di un tool scritto appositamente per attaccare l’infrastruttura della regione. In pratica hanno utilizzato uno strumento sconosciuto e non noto cosa che ha reso impossibile, per i sistemi di sicurezza, una individuazione preventiva.

I gruppi ransomware responsabili dell’attacco sono LockBit 3.0 Black e di BlackCat AlphV.

Per approfondire > Ransomware: LockBit 3.0 debutta anche in Italia e colpisce la FAAC (Fabbrica Automatismi Apertura Cancelli)

Per approfondire > Il ransomware BlackCat aggiunge una nuova funzionalità che distrugge i dati dopo averli rubati

I sistemi di monitoraggio hanno salvato la regione Campania dall’attacco ransomware
Nell’impossibilità, mancando Indicatori di Compromissione specifici, di individuare preventivamente il software dannoso, sono stati i sistemi di monitoraggio attivi sull’infrastruttura a lanciare gli alert che hanno messo in allerta i tecnici.

In particolare i sistemi di monitoraggio hanno segnalato azioni dannose eseguite in orario notturno e ciò ha determinato il pronto intervento dei tecnici del gruppo di sicurezza informatica. Il pronto intervento notturno ha consentito di isolare la postazione di lavoro e il server sotto attacco. La catena di infezione si è così arrestata.

La fase post attacco: collaborare per impedire ulteriori attacchi
La fase di analisi, aperta immediatamente dopo l’attacco, ha portato alla precisa individuazione delle macchine compromesse, successivamente isolate. La postazione di lavoro è stata portata al Data Center pe seguire le copie forensi dei dati, messe poi a disposizione delle autorità.

I tecnici hanno quindi comunicato all’Agenzia Nazionale di Cyber sicurezza Nazionale l’evento, in particolare allo CSIRT, ottemperando così agli obblighi di notifica di incidente informatico. Si è così stabilito, come in teoria previsto dalla normativa, una virtuosa collaborazione tra i tecnici regionali e lo CSIRT.

In via precauzionale, la prima misura adottata è stata quella di bloccare la rete regionale. Quindi i tecnici hanno analizzato i backup dei sistemi server verificando così che nessuna postazione di lavoro né alcun server avevano subito la criptazione dei dati. Infine hanno fornito gli indicatori di attacco e questo è un passaggio fondamentale. La condivisione di questi dati consentirà ad altri di poter individuare attacchi simili, sia nel settore pubblico che in quello privato.

Le indagini, conclude la segnalazione del whistleblower, sono ancora in corso soprattutto in relazione al vettore di attacco. Dato che il sospetto è ricaduto su allegati email / supporti removibili infetti come chiavette USB il team di sicurezza IT ha provveduto a rafforzare le misure di sicurezza informatica impedendo l’uso di supporti removibili e l’accesso a servizi di sharing non ricompresi tra quelli ufficialmente in uso presso la Regione Campania.

Per saperne di più > Il perimetro di cyber sicurezza nazionale italiano

Proteggersi dai ransomware: step basilari
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.

Predisponi un piano di backup:
è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.
Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.
Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.
Adotta l’approccio zero trust:
applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.
Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota
Evita di scaricare file o cliccare su link contenuti nelle email:
spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l’assoluta certezza della legittimità della comunicazione.
Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.
Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
Implementa un modello di sicurezza stratificato (multi livello)
nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
> sicurezza delle reti e dei server;
> gestione degli endpoint;
> gestione dei dispositivi mobile.
Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!
Implementa sistemi di protezione preventiva:
come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.
Adotta un SOC – Security Operation Center:
un SOC è un vero e proprio centro operativo dedicato alla sicurezza informatica il cui scopo, nel complesso, è monitorare costantemente la rete aziendale in cerca di attività anomale o sospette.

E-health o sanità digitale: il futuro della medicina è già qui, grazie all’uso delle tecnologie digitali, delle informazioni e dei sistemi di comunicazione

E-health: la sanità digitale
Sta entrando rapidamente nel nostro quotidiano un nuovo modo di gestire la nostra salute: si chiama e-health che in italiano possiamo provare a translitterare in “SANITÀ” DIGITALE”, definizione che rende meglio l’idea della tradizione letterale “Sanità elettronica.”

È una categoria ampia, che comprende l’uso delle tecnologie digitali, delle informazioni e dei sistemi di comunicazione per gestire e migliorare le prestazioni e l’accesso ai servizi sanitari. Rappresenta l’intersezione tra l’assistenza sanitaria e la tecnologia dell’informazione, sfruttando strumenti e risorse digitali. L’e-health include una vasta gamma di applicazioni e servizi che impongono il trattamento di una quantità enorme di dati sensibilissimi come quelli sanitari.

La nostra salute in rete
Proviamo a fare un breve elenco di tutto quanto del nostro benessere passerà dalla rete in attesa della realizzazione del Fascicolo Sanitario Elettronico:

Cartelle Cliniche Elettroniche (CCE):
si tratta di versioni digitali delle cartelle cliniche dei pazienti che possono essere consultate e aggiornate dai prestatori di assistenza sanitaria. Consentono una migliore coordinazione delle cure, riducono gli errori e migliorano la condivisione delle informazioni tra i professionisti della salute.
Telemedicina:
l’e-health facilita la fornitura di assistenza sanitaria a distanza attraverso consulenze video, il monitoraggio remoto dei pazienti e altri servizi virtuali. Questo strumento potrebbe rivelarsi fondamentale per prestare assistenza in aree remote o scarsamente servite.
Scambio di Informazioni Sanitarie (SIS):
i sistemi di SIS consentono lo scambio sicuro delle informazioni sulla salute del paziente tra organizzazioni e sistemi sanitari. Ciò ben potrebbe promuovere continuità di cure e ridurre test e documenti ridondanti con un notevole risparmio.
Salute Mobile (mHealth):
questo strumento prevede l’uso di dispositivi mobili, come smartphone e dispositivi indossabili per il monitoraggio e la gestione della propria salute. Include applicazioni per il monitoraggio dell’attività fisica, promemoria per la terapia e l’accesso a informazioni sulla salute.
Tecnologia delle Informazioni Sanitarie (TIS):
le TIS comprendono varie tecnologie e soluzioni software utilizzate per gestire e analizzare i dati sulla salute, migliorare i flussi di lavoro sanitari e supportare la presa di decisioni nell’ambito sanitario.
Analisi della Salute:
i sistemi di e-health possono analizzare i grandi volumi di dati sulla salute per identificare tendenze, prevedere focolai di malattie e migliorare i protocolli di trattamento.
Prescrizione Elettronica:
i sistemi di e-prescribing, già in uso, consentono ai fornitori di assistenza sanitaria di inviare elettronicamente le prescrizioni alle farmacie, riducendo il rischio di errori.
Monitoraggio Remoto:
gli operatori sanitari avranno la possibilità di monitorare a distanza i segni vitali e lo stato di salute dei pazienti. Ad esempio attraverso dispositivi connessi, consentendo un intervento tempestivo e, in particolare, una migliore gestione delle malattie croniche.
Portali sulla Salute e Coinvolgimento del Paziente:
i portali sull’e-health forniscono l’accesso alle cartelle cliniche, ai risultati degli esami, alla prenotazione di appuntamenti e alla comunicazione con gli operatori, promuovendo un coinvolgimento consapevole dei pazienti.
Dati sempre accessibili, ma attenzione alla cyber security
Tutto ciò potrebbe portare ad avere un sistema strutturato per permettere ai cittadini non solo di accedere ai loro dati e ad informazioni utili, ma anche effettuare ricerche ed informarsi mediante fonti affidabili. Un sistema che consentirebbe di evitare la babele digitale di disinformazione che caratterizza il web dove sedicenti medici e stregoni offrono le soluzioni più improbabili.

È chiaro che ciò impone sistemi di protezione che non toccano solo la cybersecurity, ma anche i consensi degli utenti. Alcuni, più attenti alla privacy, ben potrebbero pensare che, in realtà, si tratti di una forma di schedatura.

Le iniziative di e-health mirano a migliorare la qualità dell’assistenza sanitaria, aumentare l’accesso ai servizi, ridurre i costi e migliorare gli esiti per i pazienti. Con il continuo avanzamento della tecnologia, è probabile che l’e-health svolga un ruolo sempre più significativo nell’industria sanitaria confidando che non porti all’autogestione da parte dei singoli e potrebbe essere pensato come strumento di educazione digitale del cittadino del domani.

ScreenConnect è un software legittimo per il controllo da remoto di sistemi indows. Il CERT ne denuncia una campagna di difussione via email a fini illegittimi

L’alert del CERT
Il CERT ha reso pubblico un alert relativo ad una campagna dannosa in corso nel nostro cyberspazio nazionale. In dettaglio, un gruppo di attaccanti sta distribuendo via email un software legittimo per il controllo remoto in maniera truffaldina.

Il software in distribuzione si chiama ScreenConnect di proprietà di ConnectWise Inc, è un software legittimo per la gestione remota di postazioni Windows.

L’email vettore
La campagna vede l’uso di email riguardanti una fantomatica fattura non pagata. In allegato all’email c’è un documento in formato PDF. Il documento contiene un link ad un file dannoso. Riporta la dicitura

«Questo documento contiene file protetti, per visualizzarli, cliccare sul pulsante “Open”»

Il PDF dannoso che attiva il download di ScreenConnect
Fonte: https://cert-agid.gov.it
Il PDF compromesso e l’installazione di ScreenConnect
Una volta che l’utente clicca sul link attiva il download di un eseguibile, uno ZIP o uno script a seconda dello specifico PDF in circolazione. La campagna ha mostrato infatti l’uso di diversi documenti PDF dannosi che scaricano uno dei file sopra elencati.

I tre file hanno la stessa funzione, in ogni caso: scaricano e installano ScreenConnect. Da quel momento gli attaccanti hanno accesso remoto al sistema. Le configurazioni di installazione fanno si che la macchina bersaglio si connetta ad un’istanza controllata dagli attaccanti. Tutto questo senza che sia necessaria l’interazione dell’utente

I file dannosi provengono da più fonti: vi sono molti URL relativi a servizi di sharing e GitHub. In più, ScreenConnect, una volta installato, comunica con l’infrastruttura di ConnectWise che possiede il software. Insomma, il software si connette ad una infrastruttura legittima. Tutto ciò rende piuttosto complesso, sottolineano gli esperti del CERT, fornire Indicatori di Compromissione efficaci.

La campagna ScreenConnect è insolita per l’Italia e preoccupa gli esperti
Il CERT, nel suo alert, sottolinea come questa campagna sia piuttosto insolita. Ad esempio, ancora non è chiaro a quale scopo gli attaccanti stiano distribuendo illecitamente ScreenConnect. Non risultano ancora, infatti, utilizzi in attacchi reali di questi accessi abusivi.

Nel nostro paese, inoltre, le campagne dannose solitamente distribuiscono malware ed è molto rara la diffusione di software per il controllo remoto a finalità dannose. Il principale interesse fin ora mostrato dagli attaccanti rispetto agli utenti italiani è il furto di informazioni.

“Quest’ultime (le campagne malware n.d.r)sono infatti mirate al furto di informazioni e solo in seconda istanza, in modo puramente opportunistico, si trasformano in teste di ponte per il controllo remoto della macchina”

si legge nel report.

Il sospetto è che gli attori dannosi stiano valutando il da rasi di caso in caso a seconda di cosa trovano sulla macchina infetta. Oppure ancora potrebbe essere usato da operatori Initial Access Broker, specializzati proprio nella rivendita di accessi remoti illegittimi. Il loro compito, oltre ad aprire tali accessi, è anche quello di valutare l’appetibilità delle vittime, rivendendo poi gli accessi ad altri gruppi, come quelli ransomware.

Il CERT consiglia, per chi volesse bloccare le comunicazioni con l’infrastruttura di ConnectWise, di bloccare l’host di connessione instance-m73xwc-relay.screenconnect.com

Malware Qakbot: l’FBI ha annunciato di aver colpito e smantellato l’infrastruttura dietro al malware Qakbot. Qakbot è spesso distribuito in Italia

L’FBI smantella la botnet di Qakbot
L’FBI ha reso pubblica la notizia dello smantellamento, dopo un’operazione di polizia internazionale. Nel corso dell’operazione, fa sapere l’FBI, le autorità non si sono limitate a sequestrare l’infrastruttura, ma hanno anche proceduto a disinstallare il malware dai dispositivi infetti.

L’operazione, chiamata Duck Hunt, ha previsto il reindirizzamento delle comunicazioni di rete della botnet verso server sotto controllo dell’FBI. Questo ha consentito di individuare oltre 700.000 dispositivi infetti, dei quali 200.000 nei soli Stati Uniti.

Malware Qakbot: che cosa è?
Prima di andare in dettaglio sull’operazione, tracciamo un breve profilo di Qakbot visto che Qakbot è uno dei malware più longevi e, soprattutto, è distribuito spesso in Italia.

Qakbot è conosciuto con più nomi, tra i quali anche Qbot e Pinkslipbot. Ha debuttato come trojan bancario nel 2008: tra le funzioni principali il furto di credenziali bancarie, dei cookie dei siti web e delle carte di credito. Nel tempo comunque il malware Qakbot ha avuto varie modifiche e miglioramenti, evolvendo in un vero e proprio servizio di distribuzione di ulteriori malware. Qakbot infatti mette a disposizione ad altri gruppi di attaccanti l’accesso iniziale ai sistemi infetti.

Qakbot viene distribuito quasi esclusivamente con campagne di phishing che utilizzano varie tipologie di schemi di ingegneria sociale. Molto utilizzato lo schema “reply-chain email”, nel quale gli attori utilizzano conversazioni email rubate e si inseriscono con risposte che veicolano allegati dannosi.

Una email vettore di Qakbot, rilevata dal CERT
Una email vettore di Qakbot, rilevata dal CERT in distribuzione contro utenti italiani nel Febbraio 2022
Le email allegano, solitamente, allegato dannosi oppure link che conducono al download di file dannosi. In ogni caso, lo scopo finale è l’installazione del malware Qakbot sul dispositivo dell’utente. Tra gli allegati dannosi, nel tempo, le campagne Qakbot hanno fatto uso di

documenti Excel e Word con macro dannose;
file OneNote contenenti file aggiuntivi;
allegati ISO con eseguibili
scorciatoie Windows.
In alcuni casi questi file sono pensati per sfruttare vulnerabilità 0-day in Windows.

L’immagine sotto, a titolo esemplificativo, mostra l’inizione di Qakbot nella memoria del processo legittimo wermgr.exe.

foto

Tra le passate collaborazioni di Qakbot si trovano molteplici operazioni ransomware come Conti, ProLock, egregor, REvil, RansomExx, mentre sono più recenti quelle con BlackBasta e BlackCat /ALPHV.

Come l’FBI ha disinstallato il malware Qakbot dai dispositivi infetti
Autorizzata da un mandato di sequestro rilasciato dal Dipartimento di Giustizia, l’FBI è riuscita ad infiltrarsi nei computer amministratori di Qakbot riuscendo così a mappare l’intera infrastruttura server.

La botnet aveva 3 server di comando e controllo (Tier-1, Tier-2, Tier-3), usati per eseguire comandi, installare gli aggiornamenti del malware e scaricare i payload aggiuntivi dei partner sui dispositivi infetti.

I server Tier-3 in particolare agivano da server centrali di comando e controllo principalmente per inviare:

nuovi comandi da eseguire;
moduli software dannosi da scaricare;
payload dei partner (gruppi ransomware ecc…)
Ogni 1-4 minuti il malware Qakbot sui dispositivi comunica con una lista integrata di server Tier-1 per stabilire connessioni criptate con i server Tier-3 e ricevere comandi per eseguire o installare nuovi payload.

Il passo essenziale per l’FBI è stato quello di infiltrare l’infrastruttura e dispositivi amministratori, ottenendo la chiave di criptazione usata per cifrare le comunicazioni su questi server. Grazie a questa chiave l’FBI ha usato un dispositivo infetto sotto il proprio controllo per contattare ogni server Tier-1 per poi sostituire il modulo “supernodo” con uno creato apposittamente dalle forze dell’ordine.

Questo nuovo modulo non utilizza chiavi conosciute ai gestori di Qakbot: gli operatori, in breve, sono stati sbattuti fuori dalla propria infrastruttura di comando e controllo e non hanno più modo di comunicare coi server Tier-1. Il passo successivo dell’FBI è stato quello di creare una DLL Windows che agisce come tool di rimozione di Qakbot. Quindi lo hanno distribuito ai dispositivi infetti gestiti dai server Tier 1 dirottati.

L'unistaller di Qakbot: utilizza il comando QPCMD_BOT_SHUTDOWN
L’unistaller di Qakbot: utilizza il comando QPCMD_BOT_SHUTDOWN per arrestare i processi di Qakbot. Fonte: Bleeping Computer
Tra le altre cose, l’FBI ha condiviso col servizio di verifica data breach Have I Been Pwned e con la Polizia Nazionale Olandese un database contenente le credenziali rubate da Qakbot.

Quando le forze dell’ordine europee attaccarono Emotet
Emotet è (stata) una delle più pericolose botnet mai esistite, responsabile di campagne di spam di proporzioni epocali. Il malware Emotet è stato individuato per la prima volta nel 2014 ed aveva una sola definizione possibile: era un trojan bancario, specializzato nel furto di credenziali bancarie e dei dati delle carte di credito. E’ poi, piano piano, evoluto in una botnet usata da uno specifico gruppo di attaccanti (TA542, anche detti Mummy Spider) per distribuire ulteriori payload malware di secondo stadio. Tra questi, Emotet ha distribuito sulle macchine delle proprie vittime i payload dei trojan QakBot e TrickBot (quest’ultimo, a sua volta, ha accordi di distribuzione con i gestori dei ransomware Ryuk e Conti).

Nel 2021 “il colpaccio” di Eurojust e Europol: due persone finiscono in manette mentre la task force assume il controllo dell’infrastruttura della botnet. Di li a poco, la Polizia tedesca utilizza l’infrastruttura stessa per distribuire un modulo di Emotet che disinstalla il malware dai dispositivi infetti: è il 25 Aprile 2021. Quasi 700 server vengono scollegati dall’infrastruttura.

Per approfondire > Finisce un’era: il malware Emotet si auto elimina dai pc infetti in tutto il mondo. Le forze dell’ordine smantellano definitivamente la botnet

Il malware, purtroppo però, torna in diffusione pochi mesi dopo con un’infrastruttura potenziata e moduli e loader a 64-bit.

Per approfondire > La botnet Emotet aumenta la propria attività e riduce drasticamente il tasso di rilevamento

Guide utili per rimanere al sicuro da attacchi malware e phishing
Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
Gli allegati email più usati per infettare Windows
L’alert del CERT: in crescita il fenomeno delle campagne di phishing che cambiano i contenuti in base all’indirizzo email della vittima
SOC – Security Operation Center: che cosa, perché, come

Pagamenti ransomware: i dati sull’attività dei ransomware indicano che il volume dei pagamenti è prossimo a battere ogni record

Pagamenti ransomware: dati preoccupanti
I dati forniti da Chainalysis, società di analisi nel settore blockchain, danno una chiara indicazione rispetto al panorama delle cyber estorsioni. Nei vari settori del cyber crimine che guadagnano tramite criptovalute, dati indicano un certo calo in tutte le categorie (truffe, malware, vendita di materiali illegale, shop fraudolenti, guadagni da vendite nel dark web ecc…). Un solo settore invece registra una forte crescita, al punto da essere in procinto di battere ogni record precedente: i ransomware.

Pagamenti ransomware: trend
Fonte: Chainalysis
“Gli attaccanti ransomware si avviano al loro secono anno “più grande” di sempre, avendo estorto oltre 449 milioni di dollari fino a Giugno 2023″

si legge nel report.

Come si vede nel grafico sottostante, l’ammontare complessivo dei guadagni ottenuti dai gruppi ransomware fino a Giugno 2023 ha già raggiunto il 90% della cifra totale di criptovalute raggiunte nel 2022.

Generazione di entrate cumulative da ransomware
Fonte: Chainalysis
2023: anno record per i ransomware?
Se il ritmo di crescita dei guadagni da ransomware si mantiene su questo livello, secondo Chainalysis quest’anno i gruppi ransomware guadagneranno circa 900 milioni di dollari dalle loro vittime, poco sotto la cifra record di 940 milioni raggiunta nel 2021.

I dati indicano comunque una tendenza specifica del mondo ransomware: gli attaccanti sono tornati a prendere di mira le grandi organizzazioni, alle quali possono essere estorte ingenti somme di denaro.

Gruppi come BlackBasta, LockBit, ALPHV/Blackcat e Clop guidano la classifica come principali destinatari di pagamenti di alta fascia. Clop ha una media di pagamento di 1.7 milioni di dollari a riscatto e una mediana di circa 1.9 milioni di dollari.

Le famiglie ransomware “più cattive”
Venendo ai dettagli, Clop ha i registrato i numeri di cui sopra grazie principalmente a due massive ondate di attacchi che hanno sfruttato 2 vulnerabilità 0-day in tool di file-transfer come GoAnywhere di Fortra e MOVEit Transfer. La sola campagna GoAnywhere ha portato a 129 attacchi circa, record del Marzo 2023. La campagna MoveIT ha invece portato a quasi 300 vittime.

Vanno comunque nominate famiglie ransomware di “bassa fascia”. Dharma, Phobos, STOP / DJVU registrano una forte crescita dei guadagni, ma in questo caso si parla di famiglie ransomware che ricattano le vittime per poche centinaia di dollari. Questi ransomware, più che a poche vittime di alta fascia, mirano al numero, ovvero a fare il più ampio numero di vittime possibili.

Fonte: Bleeping Computer
Proteggersi dai ransomware: step basilari
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.

Predisponi un piano di backup:
è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.
Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.
Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.
Adotta l’approccio zero trust:
applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.
Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota
Evita di scaricare file o cliccare su link contenuti nelle email:
spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l’assoluta certezza della legittimità della comunicazione.
Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.
Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
Implementa un modello di sicurezza stratificato (multi livello)
nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
> sicurezza delle reti e dei server;
> gestione degli endpoint;
> gestione dei dispositivi mobile.
Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!
Implementa sistemi di protezione preventiva:
come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.
Adotta un SOC – Security Operation Center:
un SOC è un vero e proprio centro operativo dedicato alla sicurezza informatica il cui scopo, nel complesso, è monitorare costantemente la rete aziendale in cerca di attività anomale o sospette.
Per approfondire > SOC – Security Operation Center: che cosa, perché, come

Vidar Malware in circolazione in Italia. Il CERT ha individuato una campagna di diffusione nel mese di Luglio. Cosa sappiamo di questo malware

Vidar in breve
Vidar è un malware infostealer individuato per la prima volta nel tardo 2018. Le prime analisi del codice hanno portato i ricercatori a indicarlo come una derivazione di Arkei, un altro malware infostealer che si differenzia in alcune parti del codice e nelle comunicazioni C&C. Il nome, Vidar, deriva proprio da una stringa rinvenuta dai ricercatori nel codice del malware.

Vidar malware principalmente mira al furto della cronologia del browser, dei cookie, delle credenziali, dei wallet di criptovaluta e dei dati dai software 2FA. Organizzato sul modello del malware as a service (MaaS), conta su una rete di affiliati che pagano tra i 130 e i 750 dollari di “abbonamento”.

Viene diffusi tramite campagne email dannose e di spam, ma anche tramite software craccati.

Per saperne di più > Cosa “gira” in Italia? Malware e campagne di attacco: report CERT 01-07 Luglio

Andiamo in dettaglio: l’evoluzione dell’infrastruttura
Nel tempo il gruppo che gestisce Vidar ha modificato l’infrastruttura di backend, probabilmente nel tentativo di riorganizzarsi e nascondere il più possibile il modus operandi più volte reso pubblico online.

“gli attori dietro Vidar continuano a ruotare la propria infrastruttura IP di backend”

hanno dichiarato i ricercatori di sicurezza di Team Cymru.

L’infrastruttura è stata divisa in due parti, una dedicata ai clienti regolari e l’altra per il team di gestione del malware, ma anche per gli utenti premium.

Vidar usa un dominio pubblico e un host, situato in Russia o Bielorussia, per gestire il malware. Le attività vengono poi dirette entro un sistema che sfrutta una VPN.

Se, fino a poco tempo fa, era possibile scaricare il malware senza alcuna autenticazione, tentare la stessa azione ad oggi reindirizza ad una pagina di login per gli utenti. Anche l’IP del dominio è spesso aggiornato.

Gli aggiornamenti del payload
A partire dall’inizio del 2023 il gruppo dietro Vidar ha rilasciato ben tre diverse versioni aggiornate del malware, tutte con nuove funzionalità aggiunte. Ad esempio, la v. 1.8 ha introdotto una funzionalità di “form-grabbing” mirata a rubare i dati dal borwser Opera Crypto.

Vidar prende di mira i dati contenuti in Opera Crypto. Fonte: https://www.team-cymru.com
Andiamo in dettaglio: il furto dei dati
Come detto, la funzione principale di Vidar è il furto dei dati. Ecco, nella tabella sotto, i software presi di mira

Quali software prende di mira Vidar
Fonte: https://medium.com
Una volta raccolti tutti i dati, li comprime in un file ZIP nella cartella “\files”. Quindi questo file ZIP contenente i dati rubati viene inviato al server C&C, insieme all’ID del dispositivo infetto e la versione di Vidar in uso.

Per concludere, va detto che Vidar ha implementato anche una funzione di downloader, così da poter scaricare ulteriori malware dopo il furto delle informazioni. Quindi Vidar si cancella dal sistema praticamente senza lasciare tracce.

Guide utili per rimanere al sicuro da attacchi malware e phishing
Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
Gli allegati email più usati per infettare Windows
L’alert del CERT: in crescita il fenomeno delle campagne di phishing che cambiano i contenuti in base all’indirizzo email della vittima
SOC – Security Operation Center: che cosa, perché, come

Il ransomware Lockbit miete nuove vittime in Italia: colpita l’azienda Blowtherm. Pubblicazione dei dati il 17 Luglio

Il ransomware Lockbit di nuovo in Italia
Qualche giorno fa, sul leak site di Lockbit, è comparsa la rivendicazione di un nuovo attacco contro un’azienda italiana. Gli attaccanti rivendicano di aver esfiltrato e criptato i dati della Blowtherm, un’azienda nel padovano specializzata in cabine di verniciatura, Air tech e Riscaldamento.

Per quanto ricostruibile dalla stampa locale, l’attacco è iniziato nel fine settimana tra il 17 e il 18 Giugno ed è stato scoperto casualmente dai dipendenti che, solitamente, il sabato non lavorano. I dipendenti si sono cioè resi conto che il sistema IT non era più in funzione e, di conseguenza, le postazioni PC e le linee dei macchinari erano inutilizzabili.

“I tecnici stanno lavorando per capire l’entità dei danni e ripristinare la situazione nel minor tempo possibile: abbiamo dovuto lasciare a casa alcuni dipendenti che non avrebbero potuto lavorare alle loro postazioni. Da noi è tutto in rete e lavoriamo con sistemi di progettazioni collegati tra loro e di un certo livello, quindi proseguire è complicato”

ha dichiarato il proprietario dell’azienda, Francesco Peghin.

Fonte: leak site LockBit 3.0
Che cosa sappiamo per adesso
Ribadendo che non c’è un comunicato ufficiale dell’azienda sull’accaduto, al momento le uniche informazioni disponibili sono quelle pubblicate dagli attaccanti. Nel post di rivendicazione, gli attaccanti fissano la pubblicazione dei dati rubati per il 17 Luglio e chiedono 140.000 dollari per distruggere i dati aziendali in loro possesso, 140.000 per poter scaricare i dati e 1000 dollari al giorno per estendere il countdown.

Al post sono allegati alcuni sample di dati rubati: screenshot, PDF e immagini per testimoniare l’effettiva riuscita dell’attacco.

I dati esfiltrati dal ransomware Lockbit
I dati esfiltrati dal ransomware Lockbit
I dati esfiltrati dal ransomware Lockbit
I dati esfiltrati dal ransomware Lockbit
Fonte: leak site LockBit 3.0
Tra i dati resi disponibili ci sono anche molti documenti di identità, sia patenti che carte di identità e moltissima documentazione aziendale esfiltrata dall’infrastruttura IT.

Per approfondire > Ransomware: Lockbit la catena di attacco e le attività anti-forensi

I danni
In un’intervista sui quotidiani locali, il proprietario della Blowtherm ha spiegato come, i primi giorni, l’evento sembrasse completamente catastrofico: i dati sembravano completamente persi.

«[…] abbiamo subito attivato la macchina dei controlli e siamo riusciti ad attenuare i danni. Nei primi giorni abbiamo pensato ad una catastrofe, visto che sembrava fosse sparito praticamente tutto. Poi i tecnici, un po’ alla volta, sono riusciti a recuperare, ma per una settimana siamo stati praticamente fermi e solo da lunedì abbiamo ripreso gradualmente i regimi di lavoro. Parliamo di danni di decine e decine di migliaia di euro, ma paradossalmente poteva andare molto peggio».

I malfunzionamenti del sistema IT si sono protratti per circa una settimana. In questo periodo l’azienda ha dovuto sospendere la produzione di alcune aree produttivie e lasciare a casa i dipendenti, mentre altre aree hanno portato avanti la produzione tornando a “carta, penna e lavoro manuale”.

L’azienda ha comunque deciso di non pagare il riscatto ed ha allertato le autorità.

Proteggersi dai ransomware: step basilari
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.

Predisponi un piano di backup:
è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.
Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.
Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.
Adotta l’approccio zero trust:
applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.
Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota
Evita di scaricare file o cliccare su link contenuti nelle email:
spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l’assoluta certezza della legittimità della comunicazione.
Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.
Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
Implementa un modello di sicurezza stratificato (multi livello)
nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
> sicurezza delle reti e dei server;
> gestione degli endpoint;
> gestione dei dispositivi mobile.
Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!
Implementa sistemi di protezione preventiva:
come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.
Adotta un SOC – Security Operation Center:
un SOC è un vero e proprio centro operativo dedicato alla sicurezza informatica il cui scopo, nel complesso, è monitorare costantemente la rete aziendale in cerca di attività anomale o sospette.

Rhadamanthys malware sbarca per la prima volta in Italia: il CERT ha intercettato e analizzato la prima campagna di distribuzione contro utenti italiani

Rhadamanthys malware sbarca per la prima volta in Italia
Il CERT ne ha dato notizia nel suo bollettino settimanale, nel quale elenca le campagne dannose intercettate nel cyber spazio italiano. Rhadamanthys malware è sbarcato per la prima volta in Italia, con uno schema piuttosto classico. Le email dannose veicolavano cioè archivi ZIP contenenti file dannosi.

In breve, poi sotto vediamo qualche dettaglio aggiuntivo per i più curiosi, Rhadamanthys è un malware infostealer che prende di mira, principalmente, credenziali e dati finanziari salvati nei browser, così come gli account email e i wallet di criptovaluta. E’ organizzato secondo il modello del malware-as-a-service (MaaS) e i suoi autori lo pubblicizzano addirittura su Google Ads. Tra i dati, ruba anche le informazioni sull’hardware, sul sistema, sui software installati e registra persino l’indirizzo IP.

Rhadamanthys malware in vendita
Tutto inizia nel Settembre del 2022, quando un utente anonimo inizia a postare sui “giusti canali” la messa in vendita di un nuovo malware

Rhadamanthys Malware in vendita
Fonte: research.checkpoint.com
L'annuncio di vendita di Rhadamanthys Malware
Fonte: research.checkpoint.com
Il cassico caso di malware as a service, nel quale uno o più cyber criminali sviluppano e affittano malware. Con tanto di pubblicità e supporto clienti. Un servizio malware a tutti gli effetti. Sotto il listino prezzi

Fonte: research.checkpoint.com
Come e cosa fanno i clienti di Rhadamanthys non interessa il suo autore. Le campagne di distribuzione sono infatti di vario tipo, secondo preferenza degli acquirenti. Ad esempio i ricercatori di CheckPoint hanno individuato una campagna di distribuzione che ha visto l’uso di Google Ads per la distribuzione del malware.

Le funzionalità
Dalle analisi i ricercatori hanno potuto ricostruire che Rhadamanthys, scritto in C++, si compone di due moduli. Il primo modulo è un loader responsabile del download del modulo principale. Quest’ultimo modulo ha le funzionalità necessarie per la raccolta ed esfiltrazione dei dati da rubare.

Va detto che l’analisi del codice di Rhadamanthys è assai complessa perchè il malware mostra complesse tecniche anti analisi implementate grazie a librerie open source. Quel che emerge è comunque che la quantità di informazioni che questo malware estrae dalle macchine bersaglio è impressionante:

nome computer, username, capacità della RAM, core della CPU, risoluzione schermo, fuso orario, geoip, ambiente, software installati, screenshot, cookie, cronologia, autocompilazioni, carte di credito salvate, download, preferiti, estensioni.

Non basta: ruba le credenziali da

client FTP: Cyberduck, FTP Navigator, FTPRush, FlashFXP, Smartftp, TotalCommander, Winscp, Ws_ftp, FileZilla e Coreftp;
client email: CheckMail, Clawsmail, GmailNotifierPro, Mailbird, Outlook, PostboxApp, Thebat!, Thunderbird, TrulyMail, eM e Foxmail;
app 2FA e password manager: RoboForm, RinAuth, Authy e KeePass;
servizi VPN: AzrieVPN, NordVPN, OpenVPN, PrivateVPN_Global_AB, ProtonVPN e WindscribeVPN;
app note: NoteFly, Notezilla, Simple Stick Notes e Windows Sticky notes;
cronologia dei messaggi da app come Psi+, Pidgin, tox, Discord e Telegram;
per non farsi mancare nulla, ruba le credenziali anche da Steam, TeamViewer e SecureCRT.

Esfiltrazione delle credenziali da FileZilla. Fonte: research.checkpoint.com
Mira anche al furto di criptovalute e alle credenziali dei wallet: questo è’ un tema che pare stare molto a cuore all’autore del malware, che ha fornito diversi upgrade proprio mirati al furto di criptovalute. Ad ora Rhadamanthys “buca”

Auvitas, BitApp, Crocobit, Exodus, Finnie, GuildWallet, ICONex, Jaxx, Keplr, Liquality, MTV, Metamask, Mobox, Nifty, Oxygen, Phantom, Rabet, Ronin, Slope, Sollet, Starcoin, Swash, Terra, Station, Tron, XinPay, Yoroi, ZilPay, Coin98, Armory, AtomicWallet, Atomicdex, Binance, Bisq, BitcoinCore, BitcoinGold, Bytecoin, coinomi, DashCore, DeFi, Dogecoin, Electron, Electrum, Ethereum, Exodus, Frame, Guarda, Jaxx, LitecoinCore, Monero, MyCrypto, MyMonero, Safepay, Solar, Tokenpocket, WalletWasabi, Zap, Zcash e Zecwallet.

Come si diffonde
Rhadamanthys è distribuito principalmente, pur con ampie variazioni, tramite due canali:

Google Ads, con redirect degli utenti a siti web di phishing che emulano i siti ufficiali di popolari app come Zoom, Anydask, NotePad++, Bluestacks ecc…
email di spam con allegato dannoso che veicola il payload.
Sotto, una campagna di distribuzione via email che ha sfruttato l’uso dei PDF e poi tentato di igannare gli utenti e far scaricare loro un falso aggiornamento di Adobe

Una email di spam che ha distribuito Rhadamanthys
Il falso aggiornamento Adobe che porta al download di Rhadamanthys
Tra i siti di phishing sono noti esempi collegati a Rhadamanthys:

bluestacks-install[.]com
zoomus-install[.]com
install-zoom[.]com
install-anydesk[.]com
install-anydeslk[.]com
zoom-meetings-install[.]com
zoom-meetings-download[.]com
anydleslk-download[.]com
zoomvideo-install[.]com
zoom-video-install[.]com
istaller-zoom[.]com
noteepad.hasankahrimanoglu[.]com[.]tr
Nella foto sotto, i processi dell’installer fake di AnyDesk che portano all’installazione, invece, di Rhadamanthys

i processi dell'installer fake di AnyDesk che portano all'installazione, invece, di Rhadamanthys
i processi dell’installer fake di AnyDesk che portano all’installazione, invece, di Rhadamanthys: fonte blog.cyble.com
Guide utili per rimanere al sicuro da attacchi malware e phishing
Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
Gli allegati email più usati per infettare Windows
L’alert del CERT: in crescita il fenomeno delle campagne di phishing che cambiano i contenuti in base all’indirizzo email della vittima
SOC – Security Operation Center: che cosa, perché, come